Cisco MDS 9000 ファミリ CLI コンフィギュレーション ガイド リリース 3.x Cisco MDS SAN-OS for Release 3.0(1) ~ 3.3(3)
RADIUS および TACACS+ の設定
RADIUS および TACACS+ の設定
発行日;2013/09/03 | 英語版ドキュメント(2009/04/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

RADIUS および TACACS+ の設定

スイッチ管理のセキュリティ

CLI セキュリティ オプション

SNMP セキュリティ オプション

スイッチの AAA 機能

認証

許可

アカウンティング

リモート AAA サービス

リモート認証に関する注意事項

サーバ グループ

AAA サービス設定オプション

エラー対応ステータス

AAA サーバのモニタリング

認証と許可のプロセス

RADIUS の設定

RADIUS サーバのアドレスの設定

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の設定

RADIUS サーバのタイムアウト間隔の設定

RADIUS サーバの送信再試行回数の設定

RADIUS サーバ モニタリング パラメータの設定

テスト アイドル タイマーの設定

テスト ユーザ名の設定

デッド タイマーの設定

モニタリング用 RADIUS テスト メッセージの送信

ユーザによるログイン時の RADIUS サーバ指定の概要

ログイン時にユーザによる RADIUS サーバの指定を許可

ベンダー固有属性の概要

VSA の形式

AAA サーバでの SNMPv3 の指定

RADIUS サーバの詳細の表示

RADIUS サーバ統計情報の表示

TACACS+ の設定

TACACS+ の概要

TACACS+ サーバのデフォルト設定

TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

TACACS+ のイネーブル化

TACACS+ サーバのアドレスの設定

グローバル秘密キーの設定

タイムアウト値の設定

TACACS+ サーバの概要

TACACS+ サーバ モニタリング パラメータの設定

TACACS+ テスト アイドル タイマーの設定

テスト ユーザ名の設定

デッド タイマーの設定

モニタリング用 TACACS+ テスト メッセージの送信

TACACS+ サーバからのパスワード エージング通知

ユーザによるログイン時の TACACS+ サーバ指定の概要

ユーザによるログイン時の TACACS+ サーバ指定の許可

ロールのカスタム属性の定義

サポートされる TACACS+ サーバのパラメータ

TACACS+ サーバの詳細の表示

サーバ グループの設定

AAA サーバへの配信

AAA サーバへの配信のイネーブル化

スイッチでの配信セッションの開始

セッション ステータスの表示

保留中の設定の表示

配信のコミット

配信セッションの廃棄

RADIUS および TACACS+ 設定のマージに関する注意事項

MSCHAP による認証

MSCHAP のイネーブル化の概要

ローカル AAA サービス

AAA 認証のディセーブル化

AAA 認証の表示

アカウンティング サービスの設定

アカウンティング設定の表示

アカウンティング ログのクリア

Cisco Access Control Server の設定

デフォルト設定

RADIUS および TACACS+ の設定

認証、許可、アカウンティング(AAA)機能は、スイッチを管理するユーザの ID 確認、ユーザへのアクセス権付与、およびユーザ アクションの追跡を実行します。リモート AAA サーバを利用するソリューションを提供するため、すべての Cisco MDS 9000 ファミリ スイッチで RADIUS および TACACS+ の各プロトコルを利用します。

指定されたユーザ ID およびパスワードの組み合わせに基づいて、スイッチはローカル認証やローカル データベースによる許可、またはリモート認証や AAA サーバによる許可を実行します。スイッチと AAA サーバ間の通信は、事前共有秘密キーによって保護されます。この秘密キーはすべての AAA サーバ、または特定の AAA サーバに設定できます。このセキュリティ機能により、AAA サーバを中央で管理できます。

この章は、次の項で構成されています。

「スイッチ管理のセキュリティ」

「スイッチの AAA 機能」

「RADIUS の設定」

「TACACS+ の設定」

「サーバ グループの設定」

「AAA サーバへの配信」

「MSCHAP による認証」

「ローカル AAA サービス」

「アカウンティング サービスの設定」

「Cisco Access Control Server の設定」

「デフォルト設定」

スイッチ管理のセキュリティ

Cisco MDS 9000 ファミリ スイッチの管理セキュリティは、コマンドライン インターフェイス(CLI)や簡易ネットワーク管理プロトコル(SNMP)を含む、すべての管理アクセス方式にセキュリティを提供します。

「CLI セキュリティ オプション」

CLI セキュリティ オプション

CLI にはコンソール(シリアル接続)、Telnet、またはセキュア シェル(SSH)を使用してアクセスできます。管理方法(コンソール、Telnet、および SSH)ごとに、セキュリティ制御オプションを 1 つまたは複数設定できます。設定できるオプションは、ローカル、リモート(RADIUS か TACACS+)、または none です。

リモート セキュリティ制御

RADIUS を利用。「RADIUS の設定」を参照してください。

TACACS+ を利用。「TACACS+ の設定」を参照してください。

ローカル セキュリティ制御。「ローカル AAA サービス」を参照してください。

これらのセキュリティ機能は、次のシナリオにも設定できます。

iSCSI 認証(を参照)

FC-SP 認証(「FC-SP および DHCHAP の設定」を参照)

SNMP セキュリティ オプション

SNMP エージェントは、SNMPv1、SNMPv2c、および SNMPv3 のセキュリティ機能をサポートしています。SNMP を使用するすべてのアプリケーション(Cisco MDS 9000 Fabric Manager など)に、標準 SNMP セキュリティ機能が適用されます。

SNMP セキュリティ オプションは Fabric Manager と Device Manager にも適用できます。

「SNMP の設定」を参照してください。

Fabric Manager と Device Manager の詳細については、『 Cisco MDS 9000 Family Fabric Manager Configuration Guide 』を参照してください。

スイッチの AAA 機能

CLI または SNMP アプリケーションを使用して、すべての Cisco MDS 9000 ファミリ スイッチに AAA スイッチ機能を設定できます。

この項では、次のトピックについて取り上げます。

「認証」

「許可」

「アカウンティング」

「リモート AAA サービス」

「リモート認証に関する注意事項」

「サーバ グループ」

「AAA サービス設定オプション」

「認証と許可のプロセス」

認証

認証は、スイッチを管理する人物またはそのスイッチにアクセスするデバイスの ID を確認するプロセスです。この ID 確認は、スイッチにアクセスしようとするエンティティが提出するユーザ ID およびパスワードの組み合わせに基づいて行われます。Cisco MDS 9000 ファミリ スイッチでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。


) Telnet または SSH により Fabric Manager または Device Manager を利用して Cisco MDS スイッチに正常にログインした場合、スイッチに AAA サーバベースの認証が設定されていると、1 日の有効期限で一時的な SNMP ユーザ エントリが自動的に作成されます。スイッチは、使用している Telnet または SSH ログイン名を SNMPv3 ユーザ名として SNMPv3 プロトコル データ ユニット(PDU)を認証します。管理ステーションは Telnet または SSH ログイン名を、SNMPv3 の auth および priv パスフレーズとして、一時的に使用できます。この一時的な SNMP ログインが許可されるのは、1 つ以上のアクティブな MDS シェル セッションが存在する場合だけです。指定時刻にアクティブなセッションが存在しない場合は、ログインが削除され、SNMPv3 の操作を実行できません。


許可

すべての Cisco MDS スイッチに次の許可ロールがあります。

ネットワーク オペレータ(network-operator):設定を表示する権限だけがあります。オペレータは設定内容を変更できません。

ネットワーク管理者(network-admin):すべてのコマンドを実行し、設定内容を変更する権限があります。管理者は最大 64 の追加ロールを作成し、カスタマイズできます。

デフォルトロール:GUI を利用する権限があります(Fabric Manager および Device Manager)。このアクセス権は、GUI にアクセスすることを目的として、すべてのユーザに自動的に与えられます。

これらのロールは変更または削除ができません。追加のロールを作成することで、次のオプションを設定できます。

ユーザ ロールをローカルに割り当てるか、またはリモート AAA サーバを使用して、ロール ベースの許可を設定します。

ロール情報を格納するように、リモート AAA サーバのユーザ プロファイルを設定します。このロール情報は、リモート AAA サーバを通じてユーザを認証したときに、自動的にダウンロードされ、使用されます。


) ユーザが新しく作成されたロールのうちの 1 つだけに属している場合、このロールが削除されると、ユーザにはただちにデフォルトの network-operator ロールが設定されます。


アカウンティング

アカウンティング機能はスイッチへのアクセスに使用されるすべての管理設定のログを追跡し、管理します。この情報を利用して、トラブルシューティングや監査に使用するレポートを生成できます。アカウンティング ログはローカルで保存したり、リモート AAA サーバに送信したりできます。

リモート AAA サービス

RADIUS プロトコルおよび TACACS+ プロトコルを介して提供されるリモート AAA サービスには、ローカル AAA サービスと比べて次のような利点があります。

ファブリック内の各スイッチに対するユーザ パスワード リストをより簡単に管理できます。

AAA サーバはすでに企業全体に配置済みであり、簡単に導入できます。

ファブリック内のすべてのスイッチのアカウンティング ログを集中管理できます。

ファブリック内の各スイッチに対するユーザ ロール設定をより簡単に管理できます。

リモート認証に関する注意事項

リモート AAA サーバを使用する場合は、次の注意事項に従ってください。

最低 1 つの AAA サーバが IP で到達可能になっている必要があります。

すべての AAA サーバが到達不能である場合のポリシーとして、適切なローカル AAA ポリシーを必ず設定してください。

スイッチにオーバーレイ イーサネット LAN が接続されている場合は、AAA サーバに簡単に到達できます(「IP ストレージの設定」を参照)。この方法を推奨します。

スイッチに接続された SAN ネットワーク内のゲートウェイ スイッチを 1 つまたは複数、AAA サーバに到達するイーサネット LAN に接続する必要があります。

サーバ グループ

認証、許可、アカウンティングのためのリモート AAA サーバは、サーバ グループを使用して指定できます。サーバ グループは、同じ AAA プロトコルを実装するリモート AAA サーバ セットです。サーバ グループの目的は、リモート AAA サーバが応答できなくなったときにフェールオーバー サーバを提供することです。グループ内の最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を送信するまで、グループ内の次のリモート サーバで試行が行われます。サーバ グループ内のすべての AAA サーバが応答しなかった場合、そのサーバ グループ オプションは障害が発生しているものと見なされます。必要に応じて、複数のサーバ グループを指定できます。Cisco MDS スイッチが最初のグループ内のサーバからエラーを受信すると、次のサーバ グループのサーバが試行されます。

AAA サービス設定オプション

Cisco MDS 9000 ファミリ スイッチ製品内の AAA 設定は、サービス ベースです。次のサービスごとに、異なる AAA 設定を作成できます。

Telnet または SSH ログイン(Fabric Manager および Device Manager ログイン)

コンソール ログイン

iSCSI 認証(を参照)

FC-SP 認証(「FC-SP および DHCHAP の設定」を参照)

アカウンティング

一般に、AAA 設定の任意のサービスに対して指定できるオプションは、サーバ グループ、ローカル、および none の 3 つです。各オプションは指定した順序で試行されます。すべてのオプションが失敗した場合、ローカルが試行されます。


注意 TACACS+、RADIUS、またはローカルのいずれで作成されたものであっても、Cisco MDS SAN-OS はすべてが数字のユーザ名はサポートしません。すべてが数字のローカル ユーザ名は作成できません。すべてが数字のユーザ名が AAA サーバに存在し、ログインの際に入力されても、そのユーザはログインされません。


) オプションの 1 つとしてローカルが指定されていない場合でも、その他のすべての設定オプションに失敗したときは、ローカル方式が試行されます。


表 34-1 に、AAA サービス設定オプションごとに CLI(コマンドライン インターフェイス)の関連コマンドを示します。

 

表 34-1 AAA サービス コンフィギュレーション コマンド

AAA サービス コンフィギュレーション オプション
関連コマンド

Telnet または SSH ログイン(Cisco Fabric Manager および Device Manager ログイン)

aaa authentication login default

コンソール ログイン

aaa authentication login console

Small Computer Systems Interface over IP(iSCSI)認証

aaa authentication iscsi default

FC-SP 認証

aaa authentication dhchap default

アカウンティング

aaa accounting default

エラー対応ステータス

ログイン時にリモート AAA サーバが応答しない場合、そのログインは、ローカル ユーザ データベースにロール オーバーして処理されます。この場合は、error-enabled 機能をイネーブルにした場合、次のメッセージが画面に表示されます。

Remote AAA servers unreachable; local authentication done.
 

このメッセージの表示をイネーブルにするには、 aaa authentication login error-enable コマンドを使用します。

このメッセージの表示をディセーブルにするには、 no aaa authentication login error-enable コマンドを使用します。

現在の表示ステータスを確認するには、 show aaa authentication login error-enable コマンドを使用します(例 34-1 を参照)。

例 34-1 AAA 認証ログイン情報の表示

switch# show aaa authentication login error-enable
enabled
 

AAA サーバのモニタリング

応答の途絶えた AAA サーバは AAA 要求の処理に遅延をもたらします。AAA 要求の処理時間を節約するため、MDS スイッチは定期的に AAA サーバをモニタして AAA サーバが応答している(または稼働している)かどうかを確認できます。MDS スイッチは、応答のない AAA サーバを停止中としてマーク付けします。また、停止中のいずれの AAA サーバにも AAA 要求を送りません。MDS スイッチは定期的に停止中の AAA サーバを監視し、応答するようになったら稼働中と認識します。このモニタリング プロセスでは、実際の AAA 要求を送出する前にその AAA サーバが稼働中であることを確認します。AAA サーバのステートが停止中または稼働中に変化すると常に SNMP トラップが生成され、MDS スイッチはパフォーマンスに影響が出る前に、管理者に対して障害が発生していることを警告します。AAA サーバのステートについては、図 34-1 を参照してください。

図 34-1 AAA サーバのステート

 


) 稼働中のサーバと停止中のサーバのモニタリング間隔はそれぞれ別で、ユーザが設定できます。AAA サーバのモニタリングはテスト用認証要求を AAA サーバに送信することで行われます。


テスト パケットで使用されるユーザ名とパスワードは設定が可能です。

「RADIUS サーバ モニタリング パラメータの設定」および 「RADIUS サーバの詳細の表示」を参照してください。

認証と許可のプロセス

認証は、スイッチを管理する人物の ID を確認するプロセスです。この ID 確認は、スイッチを管理しようとする人物が入力したユーザ ID およびパスワードの組み合わせに基づいて行われます。Cisco MDS 9000 ファミリ スイッチでは、ローカル認証(ルックアップ データベースを使用)またはリモート認証(1 台または複数の RADIUS サーバまたは TACACS+ サーバを使用)を実行できます。

認証と許可の手順は次のとおりです。


ステップ 1 Telnet、SSH、Fabric Manager/Device Manager、またはコンソールのログイン オプションを使用して、Cisco MDS 9000 ファミリの目的のスイッチにログインできます。

ステップ 2 サーバ グループ認証方式を使用するサーバ グループを設定した場合は、グループ内の最初の AAA サーバに認証要求が送信されます。

その AAA サーバが応答に失敗すると次の AAA サーバに送信され、リモート サーバが認証要求に応答するまで繰り返されます。

サーバ グループ内のすべての AAA サーバが応答に失敗した場合は、次のサーバ グループのサーバに送信が行われます。

設定されているすべての方式で応答が得られなかった場合、ローカル データベースが認証に使用されます。

ステップ 3 リモートの AAA サーバにより認証に成功すると、場合に応じて次の処理が実行されます。

AAA サーバのプロトコルが RADIUS の場合は、認証応答に伴って cisco-av-pair 属性で指定されたユーザ ロールがダウンロードされます。

AAA サーバ プロトコルが TACACS+ の場合、シェルのカスタム属性として指定されているユーザ ロールを取得するために、もう 1 つの要求が同じサーバに送信されます。

リモート AAA サーバからのユーザ ロールの取得に失敗した場合、ユーザには network-operator ロールが割り当てられます。

ステップ 4 ユーザ名とパスワードがローカルで認証に成功した場合は、ログインが許可され、ローカル データベースに設定されているロールが割り当てられます。


 

図 34-2 に、許可と認証のプロセスのフローチャートを示します。

図 34-2 スイッチの許可と認証のフロー

 


) 残りのサーバ グループがないということは、どのサーバ グループのどのサーバからも応答がないということを意味します。
残りのサーバがないということは、このサーバ グループのどのサーバからも応答がないということを意味します。


RADIUS の設定

Cisco MDS 9000 ファミリ スイッチは、RADIUS プロトコルを使用してリモート AAA サーバと通信できます。複数の RADIUS サーバおよびサーバ グループを設定し、タイムアウトおよび再試行回数を設定できます。

RADIUS はネットワークへの不正なアクセスを防ぐ分散型クライアント/サーバ プロトコルです。Cisco の実装では、RADIUS クライアントは Cisco MDS 9000 ファミリ スイッチで実行され、ユーザ認証およびネットワーク サービス アクセス情報がすべて含まれる RADIUS 中央サーバに認証要求が送信されます。

ここでは、RADIUS の動作の定義、ネットワーク環境の特定、および設定可能な内容について説明します。

RADIUS サーバのアドレスの設定

最大 64 台の RADIUS サーバを追加できます。RADIUS のキーは永続性ストレージに必ず暗号化して保存されます。実行コンフィギュレーションにも、暗号化されたキーが表示されます。

ホスト RADIUS サーバの IPv4 アドレスおよびその他のオプションを指定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server host 10.10.0.0 key HostKey

選択した RADIUS サーバの事前共有キーを指定します。このキーによって、 radius-server key コマンドを使用して割り当てられたキーが上書きされます。この例では、ホストは 10.10.0.0 で、キーは HostKey です。

ステップ 3

switch(config)# r adius-server host 10.10.0.0 auth-port 2003

RADIUS 認証メッセージの宛先 UDP ポート番号を指定します。この例では、ホストは 10.10.0.0 で、認証ポートは 2003 です。デフォルトの認証ポートは 1812、有効範囲は 0 ~ 65366 です。

ステップ 4

switch(config)# radius-server host 10.10.0.0 acct-port 2004

RADIUS アカウンティング メッセージの宛先 UDP ポート番号を指定します。デフォルトのアカウンティング ポートは 1813、有効範囲は 0 ~ 65366 です。

ステップ 5

switch(config)# radius-server host 10.10.0.0 accounting

このサーバをアカウンティングのためだけに使用するように指定します。

オプションも指定しないと、サーバはアカウンティングと認証の両方に使用されます。

ステップ 6

switch(config)# radius-server host 10.10.0.0 key 0 abcd

指定したサーバのクリア テキストのキーを指定します。キーの長さは 64 文字に制限されます。

switch(config)# radius-server host 10.10.0.0 key 4 da3Asda2ioyuoiuH

指定したサーバの暗号キーを指定します。キーの長さは 64 文字に制限されます。

ホスト RADIUS サーバの IPv6 アドレスおよびその他のオプションを指定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server host 2001:0DB8:800:200C::417A Key HostKey

選択した RADIUS サーバの事前共有キーを指定します。このキーによって、 radius-server key コマンドを使用して割り当てられたキーが上書きされます。この例では、ホストは 2001:0DB8:800:200C::417A で、キーは HostKey です。

ステップ 3

switch(config)# radius-server host 2001:0DB8:800:200C::417A auth-port 2003

RADIUS 認証メッセージの宛先 UDP ポート番号を指定します。この例では、ホストは 2001:0DB8:800:200C::417A で、認証ポートは 2003 です。デフォルトの認証ポートは 1812、有効範囲は 0 ~ 65366 です。

ステップ 4

switch(config)# radius-server host 2001:0DB8:800:200C::417A acct-port 2004

RADIUS アカウンティング メッセージの宛先 UDP ポート番号を指定します。デフォルトのアカウンティング ポートは 1813、有効範囲は 0 ~ 65366 です。

ステップ 5

switch(config)# radius-server host 2001:0DB8:800:200C::417A accounting

このサーバをアカウンティングのためだけに使用するように指定します。

オプションも指定しないと、サーバはアカウンティングと認証の両方に使用されます。

ステップ 6

switch(config)# radius-server host 2001:0DB8:800:200C::417A key 0 abcd

指定したサーバのクリア テキストのキーを指定します。キーの長さは 64 文字に制限されます。

switch(config)# radius-server host 2001:0DB8:800:200C::417A key 4 da3Asda2ioyuoiuH

指定したサーバの暗号キーを指定します。キーの長さは 64 文字に制限されます。

ホスト RADIUS サーバの DNS 名およびその他のオプションを指定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server host radius2 key HostKey

選択した RADIUS サーバの事前共有キーを指定します。このキーによって、 radius-server key コマンドを使用して割り当てられたキーが上書きされます。この例では、ホストは radius2 で、キーは HostKey です。

ステップ 3

switch(config)# r adius-server host radius2 auth-port 2003

RADIUS 認証メッセージの宛先 UDP ポート番号を指定します。この例では、ホストは radius2 で、認証ポートは 2003 です。デフォルトの認証ポートは 1812、有効範囲は 0 ~ 65366 です。

ステップ 4

switch(config)# radius-server host radius2 acct-port 2004

RADIUS アカウンティング メッセージの宛先 UDP ポート番号を指定します。デフォルトのアカウンティング ポートは 1813、有効範囲は 0 ~ 65366 です。

ステップ 5

switch(config)# radius-server host radius2 accounting

このサーバをアカウンティングのためだけに使用するように指定します。

オプションも指定しないと、サーバはアカウンティングと認証の両方に使用されます。

ステップ 6

switch(config)# radius-server host radius2 key 0 abcd

指定したサーバのクリア テキストのキーを指定します。キーの長さは 64 文字に制限されます。

switch(config)# radius-server host radius2 key 4 da3Asda2ioyuoiuH

指定したサーバの暗号キーを指定します。キーの長さは 64 文字に制限されます。

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

スイッチを RADIUS サーバに対して認証するには、RADIUS 事前共有キーを設定する必要があります。キーの長さは 64 文字に制限され、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーは、スイッチにあるすべての RADIUS サーバ コンフィギュレーションで使用するよう設定できます。

radius-server host コマンドで key オプションを明示的に使用することでこのグローバル キーの割り当てを上書きできます。

RADIUS サーバにおける暗号の種類と事前共有キーのデフォルト値の設定

RADIUS 事前共有キーを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server key AnyWord

RADIUS クライアントおよびサーバ間の通信を認証する事前共有キー(AnyWord)を設定します。デフォルトはクリア テキストです。

switch(config)# radius-server key 0 AnyWord

RADIUS クライアントとサーバ間の通信を認証する、クリア テキスト(0 で指定)で記述された事前共有キー(AnyWord)を設定します。

switch(config)# radius-server key 7 abe4DFeeweo00o

RADIUS クライアントとサーバ間の通信を認証する、暗号化テキスト(7 で指定)で記述された事前共有キー(暗号化テキストで記述)を設定します。

RADIUS サーバのタイムアウト間隔の設定

すべての RADIUS サーバに対して送信間のグローバル タイムアウト値を設定できます。


) タイムアウト値が個々のサーバに設定されている場合は、グローバル設定された値よりもそれらの値が優先されます。


RADIUS サーバへの再送信間のタイムアウト値を指定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server timeout 30

スイッチがタイムアウト発生を宣言する前にスイッチがすべての TACACS+ サーバからの応答を待機するグローバル タイムアウト時間を秒単位で設定します。指定できる範囲は 1 ~ 1440 秒です。

switch(config)# no radius-server timeout 30

送信時間をデフォルト値(1 秒)に戻します。

RADIUS サーバの送信再試行回数の設定

デフォルトでは、スイッチはローカル認証に戻す前に、RADIUS サーバへの送信を 1 回だけ再試行します。この再試行の回数は、サーバごとに最大 5 回まで増やすことができます。RADIUS サーバがユーザの認証を試行する回数を指定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server retransmit 3

ローカル認証に戻る前に、スイッチが RADIUS サーバへの接続を試行する回数(3)を設定します。

switch(config)# no radius-server retransmit

デフォルトの再試行回数(1)に戻します。

RADIUS サーバ モニタリング パラメータの設定

RADIUS サーバをモニタするためのパラメータを設定できます。サーバを定期的にテストするためにこのオプションを設定できるほか、1 回だけのテストを行うこともできます。

この項では、次のトピックについて取り上げます。

「テスト アイドル タイマーの設定」

「テスト ユーザ名の設定」

「デッド タイマーの設定」

テスト アイドル タイマーの設定

テスト アイドル タイマーには、MDS スイッチがテスト パケットを送るまで RADIUS サーバが要求を受信しないでいる時間間隔を指定します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル タイム インターバルが 0 分の場合、RADIUS サーバの定期的なモニタリングは実行されません。


アイドル タイマーを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server host 10.1.1.1 test idle-time 20

テスト用のアイドル間隔の値を分で設定します。有効な範囲は 1 ~ 1440 分です。

ステップ 3

switch(config)# no radius-server host 10.1.1.1 test idle-time 20

デフォルト値(0 分)に戻します。

テスト ユーザ名の設定

定期的な RADIUS サーバのステータス テストに使用するユーザ名とパスワードを設定できます。RADIUS サーバを監視するテスト メッセージを発行するために、テスト ユーザ名とパスワードを設定する必要はありません。デフォルトのテスト ユーザ名(test)とデフォルトのパスワード(test)を利用できます。


) セキュリティ上の理由から、テスト ユーザ名を RADIUS データベースに存在する既存のユーザ名と同一にしないことを推奨します。


定期的な RADIUS サーバのステータス テストに使用するオプションのユーザ名とパスワードを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server host 10.1.1.1 test username testuser

テスト ユーザ(testuser)にデフォルトのパスワード(test)を設定します。デフォルトのユーザ名は test です。

switch(config)# no radius-server host 10.1.1.1 test username testuser

テスト ユーザ名(testuser)を削除します。

switch(config)# radius-server host 10.1.1.1 test username testuser password Ur2Gd2BH

テスト ユーザ(testuser)を設定し、強力なパスワードを割り当てます。

強力なパスワードの作成のガイドラインについては、「強力なパスワードの特性」を参照してください。

デッド タイマーの設定

デッド タイマーには、MDS スイッチが RADIUS サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを判断するためにテスト パケットを送信するまでの間隔を指定します。


) デフォルトのデッド タイマー値は 0 分です。デッド タイマー間隔が 0 分の場合、RADIUS サーバがサーバ グループの一部でグループのデッドタイム間隔が 0 分を超えていない限り、RADIUS サーバ モニタリングは実行されません。(「サーバ グループ」を参照)。



) デッド RADIUS サーバに RADIUS テスト メッセージが送信される前に、同サーバのデッド タイマーの期限が切れた場合、同サーバがまだ応答していないとしても再度アライブ状態としてマークされます。このシナリオを回避するには、デッド タイマーの時間よりも短いアイドル時間をテスト ユーザに設定します。


デッド タイマーを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server deadtime 30

デッド タイマーの値を分で設定します。有効な範囲は 1 ~ 1440 分です。

ステップ 3

switch(config)# no radius-server deadtime 30

デフォルト値(0 分)に戻します。

モニタリング用 RADIUS テスト メッセージの送信

RADIUS サーバをモニタするテスト メッセージを手動で送信できます。

RADIUS サーバにテスト メッセージを送信するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# test aaa server radius 10.10.1.1 test test

デフォルトのユーザ名(test)とパスワード(test)を使用して RADIUS サーバにテスト メッセージを送信します。

switch# test aaa server radius 10.10.1.1 testuser Ur2Gd2BH

設定されたテスト ユーザ名(testuser)とパスワード(Ur2Gd2BH)を使用して RADIUS サーバにテスト メッセージを送信します。

(注) 設定したユーザ名とパスワードは任意です(「テスト ユーザ名の設定」を参照)。

ユーザによるログイン時の RADIUS サーバ指定の概要

デフォルトでは、MDS スイッチは認証要求を RADIUS サーバ グループの最初のサーバに転送します。誘導要求オプションをイネーブルにすると、どの RADIUS サーバに認証要求を送信するかをユーザが指定できるようにスイッチを設定できます。このオプションをイネーブルにすると、ユーザは username@hostname としてログインできます。 hostname は設定した RADIUS サーバの名前です。

ログイン時にユーザによる RADIUS サーバの指定を許可

MDS スイッチにログインしているユーザが認証用の RADIUS サーバを選択できるようにする手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius-server directed-request

ログイン時にユーザが認証要求の送信先となる RADIUS サーバを指定できるようにします。

switch(config)# no radius-server directed-request

サーバ グループの最初のサーバに認証要求を送信する動作に戻します(デフォルト)。

show tacacs-server directed-request コマンドを使用して、RADIUS への誘導要求設定を表示できます。

switch# show radius-server directed-request
disabled
 

ベンダー固有属性の概要

Internet Engineering Task Force(IETF)ドラフト標準には、ネットワーク アクセス サーバと RADIUS サーバ間での ベンダー固有属性(VSA)の通信方式が規定されています。IETF は属性 26 を使用します。ベンダーは VSA を使用して、一般的な用途には適さない独自の拡張属性をサポートできます。シスコの RADIUS 実装は、この仕様で推奨される形式を使用して、1 つのベンダー固有オプションをサポートしています。シスコのベンダー ID は 9 で、サポートするオプションはベンダー タイプ 1、名前は cisco-avpair です。値は次の形式のストリングです。

protocol : attribute seperator value *
 

protocol は、特定の許可タイプを表すシスコの属性です。 separator は、必須属性の場合は = (等号記号)、省略可能な属性の場合は * (アスタリスク)です。

Cisco MDS 9000 ファミリ スイッチに対するユーザ認証に RADIUS サーバを使用した場合、RADIUS プロトコルは、認証結果とともに許可情報などのユーザ属性を戻すように RADIUS サーバに指示します。この許可情報は、VSA で指定されます。

VSA の形式

Cisco SAN-OS ソフトウェアでは次の VSA プロトコル オプションをサポートしています。

Shell プロトコル:ユーザ プロファイル情報を提供するために Access-Accept パケットで使用されます。

Accounting プロトコル:Accounting-Request パケットで使用されます。値にスペースが含まれている場合は、二重引用符で囲む必要があります。

次の属性が Cisco SAN-OS ソフトウェアでサポートされています。

roles :この属性は、ユーザが属するすべてのロールをリストします。値フィールドは、グループ名のスペース区切りリストを含む文字列です。たとえば、ユーザが vsan-admin および storage-admin のロールに属している場合、値フィールドは「 vsan-admin storage-admin 」になります。このサブ属性は Access-Accept フレームの VSA 部分に格納され、RADIUS サーバから送信されます。この属性は shell プロトコル値とだけ併用できます。次に、ロール属性を使用する 2 つの例を示します。

shell:roles="network-admin vsan-admin"

shell:roles*"network-admin vsan-admin"

VSA が shell:roles*"network-admin vsan-admin" として指定されている場合は、この VSA がオプション属性としてフラグ設定されます。その他のシスコ デバイスはこの属性を無視します。

accountinginfo :この属性は、標準の RADIUS アカウンティング プロトコルに含まれる属性を補足する追加的なアカウンティング情報を表します。この属性が送信されるのは、Account-Request フレームの VSA 部分に保管され、スイッチ上の RADIUS クライアントから送信される場合だけです。この属性を併用できるのは、アカウンティング プロトコル関連の PDU だけです。

AAA サーバでの SNMPv3 の指定

ベンダー/カスタム属性 cisco-av-pair は、次のフォーマットを使用してユーザのロール マッピングを指定する場合に使用できます。

shell:roles="roleA roleB ..."
 

cisco-av-pair 属性でロール オプションが設定されていない場合、デフォルトのユーザ ロールは network-operator になります。

また、VSA フォーマットには、オプションで SNMPv3 認証と機密保全プロトコルの属性を次のように指定できます。

shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
 

SNMPv3 認証プロトコルに指定できるオプションは、SHA と MD5 です。プライバシー プロトコルに指定できるオプションは、AES-128 と DES です。これらのオプションが ACS サーバの cisco-av-pair 属性で指定されていない場合は、MD5 および DES がデフォルトで使用されます。

RADIUS サーバの詳細の表示

show radius-server コマンドを使用して、設定されている RADIUS パラメータを表示します。例 34-2 に例を示します。

例 34-2 設定された RADIUS 情報の表示

switch# show radius-server
Global RADIUS shared secret:*******
retransmission count:5
timeout value:10
following RADIUS servers are configured:
myradius.cisco.users.com:
available for authentication on port:1812
available for accounting on port:1813
172.22.91.37:
available for authentication on port:1812
available for accounting on port:1813
RADIUS shared secret:******
10.10.0.0:
available for authentication on port:1812
available for accounting on port:1813
RADIUS shared secret:******
 

例 34-3 設定済みの RADIUS サーバ グループ順序の表示

switch# show radius-server groups
total number of groups:4
following RADIUS server groups are configured:
group radius:
server: all configured radius servers
group Group1:
server: Server3 on auth-port 1812, acct-port 1813
server: Server5 on auth-port 1812, acct-port 1813
group Group5:
 

RADIUS サーバ統計情報の表示

RADIUS サーバの統計情報を表示するには、 show radius-server statistics コマンドを使用します。

例 34-4 RADIUS サーバの統計情報の表示

switch# show radius-server statistics 10.1.3.2
Server is not monitored
 
Authentication Statistics
failed transactions: 0
sucessfull transactions: 0
requests sent: 0
requests timed out: 0
responses with no matching requests: 0
responses not processed: 0
responses containing errors: 0
 
Accounting Statistics
failed transactions: 0
sucessfull transactions: 0
requests sent: 0
requests timed out: 0
responses with no matching requests: 0
responses not processed: 0
responses containing errors: 0
 

TACACS+ の設定

Cisco MDS スイッチは Terminal Access Controller Access Control System Plus(TACACS+)プロトコルを使用して、リモート AAA サーバと通信します。複数の TACACS+ サーバを設定し、タイムアウト値を指定できます。

この項では、次のトピックについて取り上げます。

「TACACS+ の概要」

「TACACS+ サーバのデフォルト設定」

「TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の概要」

「TACACS+ のイネーブル化」

「TACACS+ サーバのアドレスの設定」

「グローバル秘密キーの設定」

「タイムアウト値の設定」

「TACACS+ サーバの概要」

「モニタリング用 TACACS+ テスト メッセージの送信」

「TACACS+ サーバからのパスワード エージング通知」

「ユーザによるログイン時の TACACS+ サーバ指定の概要」

「ユーザによるログイン時の TACACS+ サーバ指定の許可」

「ロールのカスタム属性の定義」

「TACACS+ サーバの詳細の表示」

TACACS+ の概要

TACACS+ は、TCP(TCP ポート 49)を使用してトランスポート要件を満たすクライアント/サーバ プロトコルです。すべての Cisco MDS 9000 ファミリ スイッチは、TACACS+ プロトコルを使用して中央から認証できます。TACACS+ には、RADIUS 認証と比較して次のような利点があります。

独立したモジュラ式 AAA ファシリティを提供します。認証を行わずに、許可を実行できます。

AAA クライアントとサーバ間のデータ送信に TCP トランスポート プロトコルを使用しているため、コネクション型プロトコルによる確実な転送を実行します。

スイッチと AAA サーバ間でプロトコル ペイロード全体を暗号化して、高度なデータ機密性を実現します。RADIUS プロトコルはパスワードだけを暗号化します。

TACACS+ サーバのデフォルト設定

Fabric Manager を利用すると、スイッチとの通信を設定するどの TACACS+ サーバにも利用できるデフォルト設定をセットアップできます。デフォルト設定には次の内容が含まれます。

暗号の種類

事前共有キー

タイムアウトの値

送信試行回数

ユーザによるログイン時の TACACS+ サーバ指定の許可

TACACS+ サーバにおける暗号の種類と事前共有キーのデフォルト値の概要

スイッチを TACACS+ サーバに対して認証するには、TACACS+ 事前共有キーを設定する必要があります。キーの長さは 64 文字に制限され、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーを設定して、スイッチにあるすべての TACACS+ サーバ コンフィギュレーションで使用するようにできます。

グローバル キーの割り当てを上書きするには、個々の TACACS+ サーバの設定時に key オプションを使用する必要があります。

TACACS+ のイネーブル化

デフォルトでは、Cisco MDS 9000 ファミリの全スイッチで TACACS+ 機能がディセーブルに設定されています。ファブリック認証用のコンフィギュレーション コマンドおよび確認コマンドにアクセスするには、TACACS+ 機能をイネーブルにする必要があります。この機能をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。

Cisco MDS スイッチの TACACS+ をイネーブルにする手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs+ enable

このスイッチ上で TACACS+ をイネーブルにします。

switch(config)# no tacacs+ enable

このスイッチ上で TACACS+ をディセーブル(デフォルト)にします。

TACACS+ サーバのアドレスの設定

設定されたサーバに秘密キーが設定されていない場合、グローバル キーが設定されていないと、警告メッセージが発行されます。サーバ キーが設定されていない場合は、グローバル キー(設定されている場合)が該当サーバで使用されます(「タイムアウト値の設定」を参照)。


) グローバル秘密キーでドル記号($)とパーセント記号(%)を使用できます。


TACACS+ サーバの IPv4 アドレスおよびその他のオプションを設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server host 171.71.58.91

指定の IPv4 アドレスによって識別される TACACS+ サーバを設定します。

switch(config)# no tacacs-server host 171.71.58.91

IPv4 アドレスによって識別される特定の TACACS+ サーバを削除します。デフォルトでは、サーバは設定されていません。

ステップ 3

switch(config)# tacacs-server host 171.71.58.91 port 2

すべての TACACS+ 要求の TCP ポートを設定します。

switch(config)# no tacacs-server host 171.71.58.91 port 2

サーバ アクセス用にポート 49 を使用する工場出荷時のデフォルトに戻します。

ステップ 4

switch(config)# tacacs-server host 171.71.58.91 key MyKey

指定のドメイン名によって識別される TACACS+ サーバを設定し、秘密キーを割り当てます。

ステップ 5

switch(config)# tacacs-server host 171.71.58.91 timeout 25

タイムアウト発生を宣言する前にスイッチが指定したサーバからの応答を待機するタイムアウト時間を設定します。

TACACS+ サーバの IPv6 アドレスおよびその他のオプションを設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server host 2001:0DB8:800:200C::417A

warning: no key is configured for the host

指定の IPv6 アドレスによって識別される TACACS+ サーバを設定します。

switch(config)# no tacacs-server host 2001:0DB8:800:200C::417A

IPv6 アドレスによって識別される特定の TACACS+ サーバを削除します。デフォルトでは、サーバは設定されていません。

ステップ 3

switch(config)# tacacs-server host 2001:0DB8:800:200C::417A port 2

すべての TACACS+ 要求の TCP ポートを設定します。

switch(config)# no tacacs-server host 2001:0DB8:800:200C::417A port 2

サーバ アクセス用にポート 49 を使用する工場出荷時のデフォルトに戻します。

ステップ 4

switch(config)# tacacs-server host 2001:0DB8:800:200C::417A key MyKey

指定のドメイン名によって識別される TACACS+ サーバを設定し、秘密キーを割り当てます。

ステップ 5

switch(config)# tacacs-server host 2001:0DB8:800:200C::417A timeout 25

タイムアウト発生を宣言する前にスイッチが指定したサーバからの応答を待機するタイムアウト時間を設定します。

TACACS+ サーバの DNS 名およびその他のオプションを設定する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server host host1.cisco.com

warning: no key is configured for the host

指定の DNS 名によって識別される TACACS+ サーバを設定します。

switch(config)# no tacacs-server host host1.cisco.com

DNS 名によって識別される特定の TACACS+ サーバを削除します。デフォルトでは、サーバは設定されていません。

ステップ 3

switch(config)# tacacs-server host host1.cisco.com port 2

すべての TACACS+ 要求の TCP ポートを設定します。

switch(config)# no tacacs-server host host1.cisco.com port 2

サーバ アクセス用にポート 49 を使用する工場出荷時のデフォルトに戻します。

ステップ 4

switch(config)# tacacs-server host host1.cisco.com key MyKey

指定のドメイン名によって識別される TACACS+ サーバを設定し、秘密キーを割り当てます。

ステップ 5

switch(config)# tacacs-server host host1.cisco.com timeout 25

タイムアウト発生を宣言する前にスイッチが指定したサーバからの応答を待機するタイムアウト時間を設定します。

グローバル秘密キーの設定

すべての TACACS+ サーバで秘密キーに対するグローバル値を設定できます。


) 秘密キーが個々のサーバに設定されている場合は、グローバル設定されたキーよりもそれらのキーが優先されます。



) グローバル秘密キーでドル記号($)とパーセント記号(%)を使用できます。


TACACS+ サーバの秘密キーを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server key 7 3sdaA3daKUngd

グローバル秘密キー(暗号化形式)を割り当てて、TACACS+ サーバにアクセスします。この例では、 7 を指定して、使用されている暗号化形式を示しています。このグローバル キーと各サーバ キーが設定されていない場合、クリア テキスト メッセージが TACACS+ サーバに送信されます。

switch(config)# no tacacs-server key oldPword

設定されたグローバル秘密キーを削除して、TACACS+ サーバにアクセスし、工場出荷時のデフォルトに戻して、設定されたすべてのサーバへのアクセスを許可します。

タイムアウト値の設定

すべての TACACS+ サーバに対して送信間のグローバル タイムアウト値を設定できます。


) タイムアウト値が個々のサーバに設定されている場合は、グローバル設定された値よりもそれらの値が優先されます。


TACACS+ サーバのグローバル タイムアウト値を設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server timeout 30

スイッチがタイムアウト発生を宣言する前にスイッチがすべての TACACS+ サーバからの応答を待機するグローバル タイムアウト時間を秒単位で設定します。指定できる範囲は 1 ~ 1440 秒です。

switch(config)# no tacacs-server timeout 30

設定済みのタイムアウト期間を削除し、工場出荷時のデフォルトである 5 秒に戻します。

TACACS+ サーバの概要

デフォルトでは、Cisco MDS 9000 ファミリの全スイッチで TACACS+ 機能がディセーブルに設定されています。TACACS+ サーバの設定を行うと、Fabric Manager または Device Manager によって自動的に TACACS+ の機能がイネーブルになります。

設定されたサーバに秘密キーが設定されていない場合、グローバル キーが設定されていないと、警告メッセージが発行されます。サーバ キーが設定されていない場合は、グローバル キー(設定されている場合)が該当サーバで使用されます。


) Cisco MDS SAN-OS Release 2.1(2) よりも前のバージョンでは、キーでドル記号($)を使用できますが、二重引用符で囲む必要があります(例:"k$")。パーセント記号(%)は使用できません。Cisco MDS SAN-OS リリース 2.1(2) 以降では、二重引用符なしでドル記号($)を使用でき、パーセント記号(%)はグローバル秘密キーで使用できます。


すべての TACACS+ サーバで秘密キーに対するグローバル値を設定できます。


) 秘密キーが個々のサーバに設定されている場合は、グローバル設定されたキーよりもそれらのキーが優先されます。


TACACS+ サーバ モニタリング パラメータの設定

TACACS+ サーバをモニタするためのパラメータを設定できます。

この項では、次のトピックについて取り上げます。

「TACACS+ テスト アイドル タイマーの設定」

「テスト ユーザ名の設定」

「デッド タイマーの設定」

TACACS+ テスト アイドル タイマーの設定

テスト アイドル タイマーには、MDS スイッチがテスト パケットを送るまで TACACS+ サーバが要求を受信しないでいる時間間隔を指定します。


) デフォルトのアイドル タイマー値は 0 分です。アイドル時間間隔が 0 分の場合、TACACS+ サーバの定期モニタリングは実行されません。


アイドル タイマーを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server host 10.1.1.1 test idle-time 20

テスト用のアイドル間隔の値を分で設定します。有効な範囲は 1 ~ 1440 分です。

ステップ 3

switch(config)# no tacacs-server host 10.1.1.1 test idle-time 20

デフォルト値(0 分)に戻します。

テスト ユーザ名の設定

定期的な TACACS+ サーバのステータス テストに使用するユーザ名とパスワードを設定できます。 デフォルトのテスト ユーザ名(test)とデフォルトのパスワード(test)を利用できます。

定期的な TACACS+ サーバのステータス テストに使用するオプションのユーザ名とパスワードを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server host 10.1.1.1 test username testuser

テスト ユーザ(testuser)にデフォルトのパスワード(test)を設定します。デフォルトのユーザ名は test です。

switch(config)# no tacacs-server host 10.1.1.1 test username testuser

テスト ユーザ(testuser)を削除します。

switch(config)# tacacs-server host 10.1.1.1 test username testuser password Ur2Gd2BH

テスト ユーザ(testuser)を設定し、強力なパスワードを割り当てます。

強力なパスワードの作成のガイドラインについては、「強力なパスワードの特性」を参照してください。

デッド タイマーの設定

デッド タイマーには、MDS スイッチが TACACS+ サーバをデッド状態であると宣言した後、そのサーバがアライブ状態に戻ったかどうかを判断するためにテスト パケットを送信するまでの間隔を指定します。


) デフォルトのデッド タイマー値は 0 分です。デッド タイマー間隔が 0 分の場合、TACACS+ サーバがより大きいサーバ グループの一部でグループのデッドタイム間隔が 0 分を超えていない限り、TACACS+ サーバ モニタリングは実行されません。(「RADIUS の設定」 を参照)。



) TACACS+ テスト メッセージに送信される前に、デッド TACACS+ サーバのデッド タイマーの期限が切れた場合、そのサーバは、応答していない場合でも再度アライブ状態としてマークされます。このシナリオを回避するには、デッド タイマーの時間よりも短いアイドル時間をテスト ユーザに設定します。


デッド タイマーを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server deadtime 30

デッドタイム間隔の値を分で設定します。有効な範囲は 1 ~ 1440 分です。

ステップ 3

switch(config)# no tacacs-server deadtime 30

デフォルト値(0 分)に戻します。

(注) デッドタイム間隔が 0 分の場合、TACACS+ サーバがサーバ グループの一部でグループのデッドタイム間隔が 0 分を超えていない限り、TACACS+ サーバ モニタリングは実行されません。(「RADIUS の設定」を参照)。

モニタリング用 TACACS+ テスト メッセージの送信

TACACS+ サーバをモニタするテスト メッセージを手動で送信できます。

TACACS+ サーバにテスト メッセージを送信するには、次の手順を実行します。

コマンド
目的

switch# test aaa server tacacs+ 10.10.1.1 test test

デフォルトのユーザ名(test)とパスワード(test)を使用して TACACS+ サーバにテスト メッセージを送信します。

switch# test aaa server tacacs+ 10.10.1.1 testuser Ur2Gd2BH

設定されたテスト ユーザ名とパスワードを使用して TACACS+ サーバにテスト メッセージを送信します。

設定したユーザ名とパスワードは任意です(「テスト ユーザ名の設定」を参照)。

TACACS+ サーバからのパスワード エージング通知

パスワード エージング通知は、ユーザが TACACS+ アカウント経由で Cisco MDS 9000 スイッチに認証すると開始されます。パスワードの期限切れが近い、または期限が切れたときは、ユーザに通知されます。パスワードの期限が切れると、ユーザはパスワードを変更するように求められます。


) Cisco MDS SAN-OS Release 3.2(1) では、TACACS+ だけがパスワード エージング通知をサポートしています。この機能をイネーブルにして RADIUS サーバを使用しようとすると、RADIUS は SYSLOG メッセージを生成し、認証はローカル データベースにフォールバックします。


パスワード エージング通知により、次の操作が容易になります。

パスワードの変更:空のパスワードを入力することによってパスワードを変更できます。

パスワード エージング通知:パスワード エージングを通知します。通知は、AAA サーバが構成されている場合にだけ発生します。

期限切れ後のパスワードの変更:古いパスワードの期限が切れたら、パスワードの変更を開始します。AAA サーバから開始します。

 

AAA サーバのパスワード エージング オプションをイネーブルにするには、次のコマンドを入力します。

aaa authentication login password-aging enable
 

AAA サーバのパスワード エージング通知をイネーブルにするか、またはディセーブルにするかを設定するには、次のコマンドを入力します。

show aaa authentication login password-aging

ユーザによるログイン時の TACACS+ サーバ指定の概要

デフォルトでは、MDS スイッチは認証要求を TACACS+ サーバ グループの最初のサーバに転送します。どの TACACS+ サーバに認証要求を送信するかをユーザが指定できるようにスイッチを設定できます。この機能をイネーブルにすると、ユーザは username@hostname としてログインできます。 hostname は設定した TACACS+ サーバの名前です。

ユーザによるログイン時の TACACS+ サーバ指定の許可

MDS スイッチにログインしているユーザが認証用の TACACS+ サーバを選択できるようにする手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs-server directed-request

ログイン時に、ユーザが認証要求の送信先となる TACACS+ サーバを指定できるようにします。

switch(config)# no tacacs-server directed-request

サーバ グループの最初のサーバに認証要求を送信する動作に戻します(デフォルト)。

show tacacs-server directed-request コマンドを使用して、TACACS+ への誘導要求設定を表示できます。

switch# show tacacs-server directed-request
disabled
 

ロールのカスタム属性の定義

Cisco MDS 9000 ファミリ スイッチでは、ユーザが所属するロールの設定には、サービス シェルの TACACS+ カスタム属性を使用します。TACACS+ 属性は name=value 形式で指定します。このカスタム属性の属性名は、 cisco-av-pair です。この属性を使用してロールを指定する例を次に示します。

cisco-av-pair=shell:roles=”network-admin vsan-admin"
 

オプションのカスタム属性を設定して、同じ AAA サーバを使用する MDS 以外のシスコ製スイッチとの競合を回避することもできます。

cisco-av-pair*shell:roles="network-admin vsan-admin"
 

追加カスタム属性 shell:roles もサポートされています。

shell:roles="network-admin vsan-admin"
 

または

shell:roles*"network-admin vsan-admin"
 

) TACACS+ カスタム属性は、Access Control Server(ACS)でさまざまなサービス(シェルなど)用に定義できます。Cisco MDS 9000 ファミリ スイッチでは、サービス シェルの TACACS+ カスタム属性を使用して、ロールを定義する必要があります。


サポートされる TACACS+ サーバのパラメータ

Cisco SAN-OS ソフトウェアでは現在、下記の TACACS+ サーバに対して次のパラメータをサポートしています。

TACACS+

cisco-av-pair=shell:roles="network-admin"
 

Cisco ACS TACACS+

shell:roles="network-admin"
shell:roles*"network-admin"
cisco-av-pair*shell:roles="network-admin"
cisco-av-pair*shell:roles*"network-admin"
cisco-av-pair=shell:roles*"network-admin"
 

Open TACACS+

cisco-av-pair*shell:roles="network-admin"
cisco-av-pair=shell:roles*"network-admin"

TACACS+ サーバの詳細の表示

34-5 34-10 に示すように、Cisco MDS 9000 ファミリのすべてのスイッチの TACACS+ サーバ設定に関する情報を表示するには、 show aaa コマンドおよび show tacacs-server コマンドを使用します。

例 34-5 TACACS+ サーバ情報の表示

switch# show tacacs-server
Global TACACS+ shared secret:***********
timeout value:30
total number of servers:3
 
following TACACS+ servers are configured:
171.71.58.91:
available on port:2
cisco.com:
available on port:49
171.71.22.95:
available on port:49
TACACS+ shared secret:*****

例 34-6 AAA 認証情報の表示

switch# show aaa authentication
default: group TacServer local none
console: local
iscsi: local
dhchap: local

例 34-7 AAA 認証ログイン情報の表示

switch# show aaa authentication login error-enable
enabled

例 34-8 設定されている TACACS+ サーバ グループの表示

switch# show tacacs-server groups
total number of groups:2
 
following TACACS+ server groups are configured:
group TacServer:
server 171.71.58.91 on port 2
group TacacsServer1:
server ServerA on port 49
server ServerB on port 49:

例 34-9 すべての AAA サーバ グループの表示

switch# show aaa groups
radius
TacServer

例 34-10 TACACS+ サーバの統計情報の表示

switch# show tacacs-server statistics 10.1.2.3
Server is not monitored
 
Authentication Statistics
failed transactions: 0
sucessfull transactions: 0
requests sent: 0
requests timed out: 0
responses with no matching requests: 0
responses not processed: 0
responses containing errors: 0
 
Authorization Statistics
failed transactions: 0
sucessfull transactions: 0
requests sent: 0
requests timed out: 0
responses with no matching requests: 0
responses not processed: 0
responses containing errors: 0
 
Accounting Statistics
failed transactions: 0
sucessfull transactions: 0
requests sent: 0
requests timed out: 0
responses with no matching requests: 0
responses not processed: 0
responses containing errors: 0

サーバ グループの設定

サーバ グループを使用して、1 台または複数台のリモート AAA サーバによるユーザ認証を指定することができます。グループのメンバーはすべて同じプロトコル(RADIUS または TACACS+)に属している必要があります。設定した順序に従ってサーバが試行されます。

AAA サーバ モニタリング機能は AAA サーバを停止中としてマーク付けできます。スイッチが停止中の AAA サーバに要求を送信するまでの経過時間を分で設定できます (「AAA サーバのモニタリング」を参照)。

これらのサーバ グループはいつでも設定できますが、設定したグループを有効にするには、AAA サービスに適用する必要があります。AAA ポリシーは CLI ユーザ、または Fabric Manager ユーザや Device Manager ユーザに設定できます。

RADIUS サーバ グループを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# aaa group server radius RadServer

switch(config-radius)#

RadServer という名前のサーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。

switch(config)# no aaa group server radius RadServer

RadServer と呼ばれるサーバ グループを認証リストから削除します。

ステップ 3

switch(config-radius)# server 10.71.58.91

IPv4 アドレス 10.71.58.91 の RADIUS サーバをサーバ グループ RadServer 内で最初に試行されるように設定します。

コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

ステップ 4

switch(config-radius)# server 2001:0DB8:800:200C::417A

IPv6 アドレス 2001:0DB8:800:200C::417A の RADIUS サーバをサーバ グループ RadServer 内で最初に試行されるように設定します。

switch(config-radius)# no server 2001:0DB8:800:200C::417A

IPv6 アドレス 2001:0DB8:800:200C::417A の RADIUS サーバをサーバ グループ RadServer から削除します。

ステップ 5

switch(config-radius)# exit

コンフィギュレーション モードに戻ります。

ステップ 6

switch(config)# aaa group server radius RadiusServer

switch(config-radius)#

RadiusServer という名前のサーバ グループを作成し、そのグループの RADIUS サーバ グループ コンフィギュレーション サブモードを開始します。

ステップ 7

switch(config-radius)# server ServerA

ServerA を RadiusServer1 と呼ばれるサーバ グループ内で最初に試行されるように設定します。

コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

ステップ 8

switch(config-radius)# server ServerB

ServerB をサーバ グループ RadiusServer1 内で 2 番目に試行されるように設定します。

ステップ 9

switch(config-radius)# deadtime 30

モニタリング デッド タイムを 30 分に設定します。指定できる範囲は 0 ~ 1440 です。

(注) 個別の RADIUS サーバのデッド時間間隔が 0 よりも大きい場合は、サーバ グループに設定された値よりもその値が優先されます。

switch(config-radius)# no deadtime 30

デフォルト値(0 分)に戻します。

(注) RADIUS サーバ グループおよび RADIUS サーバの個別の TACACS+ サーバの両方のデッドタイム間隔が 0 に設定されている場合、スイッチは定期モニタリングによって応答がないと判明した場合に RADIUS サーバをデッドとしてマークしません。さらにスイッチは、その RADIUS サーバに対するデッド サーバ モニタリングを実行しません。(「RADIUS サーバ モニタリング パラメータの設定」を参照)。

設定されているサーバ グループの順序を確認するには、 show radius-server groups コマンドを使用します。

switch# show radius-server groups
total number of groups:2
 
following RAIDUS server groups are configured:
group RadServer:
server 10.71.58.91 on port 2
group RadiusServer1:
server ServerA on port 49
server ServerB on port 49:
 

TACACS+ サーバ グループを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# aaa group server tacacs+ TacacsServer1

switch(config-tacacs+)#

TacacsServer1 という名前のサーバ グループを作成し、そのグループのサブモードを開始します。

switch(config)# no aaa group server tacacs+ TacacsServer1

TacacsServer1 と呼ばれるサーバ グループを認証リストから削除します。

ステップ 3

switch(config-tacacs+)# server ServerA

ServerA を TacacsServer1 と呼ばれるサーバ グループ内で最初に試行されるように設定します。

コマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

ステップ 4

switch(config-tacacs+)# server ServerB

ServerB をサーバ グループ TacacsServer1 内で 2 番目に試行されるように設定します。

switch(config-tacacs+)# no server ServerB

TacacsServer1 サーバ リストから ServerB を削除します。

ステップ 5

switch(config-tacacs+)# deadtime 30

モニタリング デッド タイムを 30 分に設定します。指定できる範囲は 0 ~ 1440 です。

(注) 個別の TACACS+ サーバのデッド時間間隔が 0 よりも大きい場合は、サーバ グループに設定された値よりもその値が優先されます。

switch(config-tacacs+)# no deadtime 30

デフォルト値(0 分)に戻します。

(注) TACACS+ サーバ グループおよび TACACS+ サーバの個別の TACACS+ サーバの両方のデッドタイム間隔が 0 に設定されている場合、スイッチは定期モニタリングによって応答がないと判明した場合に TACACS+ サーバをデッドとしてマークしません。さらにスイッチは、その TACACS+ サーバに対するデッド サーバ モニタリングを実行しません。(「TACACS+ サーバ モニタリング パラメータの設定」を参照)。

AAA サーバへの配信

MDS スイッチの RADIUS および TACACS+ の AAA 設定は、Cisco Fabric Services(CFS)を使用して配信できます。デフォルトでは、配信はディセーブルになっています(「CFS インフラストラクチャの使用」を参照)。

配信をイネーブルにすると、最初のサーバまたはグローバル設定により、暗黙のセッションが開始されます。それ以降に入力されたすべてのサーバ コンフィギュレーション コマンドは、一時的なデータベースに保管され、データベースをコミットしたときに、ファブリック内のすべてのスイッチ(送信元スイッチを含む)に適用されます。サーバ キーおよびグローバル キーを除く、さまざまなサーバおよびグローバル パラメータが配信されます。サーバ キーおよびグローバル キーはスイッチに対する固有の秘密キーです。他のスイッチと共有しないでください。


) サーバ グループ設定は配信されません。



) AAA サーバ設定配信を行う MDS スイッチでは、Cisco MDS SAN-OS Release 2.0(1b) 以降が稼働している必要があります。


AAA サーバへの配信のイネーブル化

アクティビティに参加できるのは、配信がイネーブルであるスイッチだけです。

RADIUS サーバでの配信をイネーブルにする手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius distribute

このスイッチ上で RADIUS 設定配信をイネーブルにします。

switch(config)# no radius distribute

このスイッチ上で RADIUS 設定配信をディセーブルにします(デフォルト)。

TACACS+ サーバでの配信をイネーブルにする手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs+ distribute

このスイッチ上で TACACS+ 設定配信をイネーブルにします。

switch(config)# no tacacs+ distribute

このスイッチ上で TACACS+ 設定配信をディセーブルにします(デフォルト)。

スイッチでの配信セッションの開始

配信セッションは RADIUS/TACACS+ サーバの設定またはグローバル設定を開始した瞬間に始まります。たとえば、次の作業を実行すると、暗黙のセッションが開始されます。

RADIUS サーバのグローバル タイムアウトの指定

TACACS+ サーバのグローバル タイムアウトの指定


) AAA サーバに関連する最初のコンフィギュレーション コマンドを発行すると、作成されたすべてのサーバおよびグローバル設定(配信セッションを開始する設定を含む)が一時バッファに格納されます。実行コンフィギュレーションには格納されません。


セッション ステータスの表示

暗黙の配信セッションが開始すると、セッション ステータスをチェックできます。[CFS] タブに 配信ステータス が表示されます。 show radius コマンドを使用します。

switch# show radius distribution status
distribution : enabled
session ongoing: yes
session owner: admin
session db: exists
merge protocol status: merge activation done
 
 
last operation: enable
last operation status: success
 

暗黙の配信セッションが開始すると、 show tacacs+ distribution status コマンドを使用してセッション ステータスをチェックできます。

switch# show tacacs+ distribution status
distribution : enabled
session ongoing: yes
session owner: admin
session db: exists
merge protocol status: merge activation done
 
 
last operation: enable
last operation status: success
 

保留中の設定の表示

一時バッファに保存された RADIUS または TACACS+ のグローバル設定またはサーバ設定を、 show radius pending コマンドを使用して表示する手順は次のとおりです。

switch(config)# show radius pending-diff
+radius-server host testhost1 authentication accounting
+radius-server host testhost2 authentication accounting
 

一時バッファに保存された TACACS+ のグローバル設定またはサーバ設定を表示するには、 show tacacs+ pending コマンドを使用します。

switch(config)# show tacacs+ pending-diff
+tacacs-server host testhost3
+tacacs-server host testhost4
 

配信のコミット

一時バッファに格納された RADIUS または TACACS+ グローバル設定またはサーバ設定を、ファブリック内のすべてのスイッチ(送信元スイッチを含む)の実行コンフィギュレーションに適用できます。

RADIUS 設定の変更をコミットするには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius commit

RADIUS 設定の変更を実行コンフィギュレーションにコミットします。

TACACS+ 設定の変更をコミットするには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs+ commit

TACACS+ 設定の変更を実行コンフィギュレーションにコミットします。

配信セッションの廃棄

進行中のセッションの配信を廃棄すると、一時バッファ内の設定が廃棄されます。廃棄された配信は適用されません。

RADIUS の進行中のセッションの配信を廃棄する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# radius abort

RADIUS 設定の変更を実行コンフィギュレーションに廃棄します。

TACACS+ の進行中のセッションの配信を廃棄する手順は、次のとおりです。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# tacacs+ abort

TACACS+ 設定の変更を実行コンフィギュレーションに廃棄します。

進行中の CFS 配信セッション(存在する場合)をクリアし、RADIUS 機能のファブリックをロック解除するには、ファブリック内の任意のスイッチから clear radius session コマンドを入力します。

switch# clear radius session
 

進行中の CFS 配信セッション(存在する場合)をクリアし、TACACS+ 機能のファブリックをロック解除するには、ファブリック内の任意のスイッチから clear tacacs+ session コマンドを入力します。

switch# clear tacacs+ session
 

RADIUS および TACACS+ 設定のマージに関する注意事項

RADIUS および TACACS+ のサーバ設定およびグローバル設定は 2 つのファブリックがマージするときにマージされます。マージされた設定は CFS 配信がイネーブルであるスイッチに適用されます。

ファブリックのマージの際は次の条件に注意してください。

サーバ グループはマージされません。

サーバ キーおよびグローバル キーはマージ中に変更されません。

マージされた設定には、CFS がイネーブルであるすべてのスイッチで見つかったすべてのサーバが含まれます。

マージされた設定におけるタイムアウトと再送信のパラメータは、個々のサーバ設定とグローバル設定に指定されている値の最大値になります。


注意 設定されたサーバ ポートの 2 つのスイッチの間で矛盾が存在する場合は、マージに失敗します。

show radius distribution status コマンドを使用して、RADIUS ファブリック マージのステータスを表示します。例 34-11 に例を示します。

例 34-11 RADIUS ファブリック マージのステータスの表示

switch# show radius distribution status
distribution : enabled
session ongoing: no
session db: does not exist
merge protocol status: merge response received
merge error: conflict: server dmtest2 has auth-port 1812 on this switch and 1999
on remote
 
last operation: enable
last operation status: success
 

show tacacs+ distribution status コマンドを使用して、TACACS+ ファブリック マージのステータスを表示します。例 34-12 に例を示します。

例 34-12 TACACS+ ファブリック マージのステータスの表示

switch# show tacacs+ distribution status
distribution : enabled
session ongoing: no
session db: does not exist
merge protocol status: merge activation done
 
last operation: enable
last operation status: success
 

MSCHAP による認証

Microsoft チャレンジ ハンドシェイク認証プロトコル(MSCHAP)は Microsoft 版の CHAP です。リモート認証サーバ(RADIUS または TACACS+)経由での MDS スイッチへのユーザ ログインに MSCHAP を使用できます。

MSCHAP のイネーブル化の概要

デフォルトでは、スイッチはスイッチとリモート サーバの間でパスワード認証プロトコル(PAP)認証を使用します。MSCHAP をイネーブルにする場合は、MSCHAP のベンダー固有属性を認識するように RADIUS サーバを設定する必要があります。「ベンダー固有属性の概要」を参照してください。 表 34-2 に MSCHAP に必要な RADIUS ベンダー固有属性を示します。

 

表 34-2 MSCHAP 用の RADIUS ベンダー固有属性

ベンダー ID 番号
ベンダー タイプ番号
ベンダー固有属性
説明

311

11

MSCHAP-Challenge

AAA サーバから MSCHAP ユーザに送信されるチャレンジを保持します。これは、Access-Request パケットと Access-Challenge パケットの両方で使用できます。

211

11

MSCHAP-Response

チャレンジに対する応答として ユーザが入力した値を保持します。Access-Request パケットでしか使用されません。

MSCHAP 認証をイネーブルにするには、次の手順を実行します。

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードに入ります。

ステップ 2

switch(config)# aaa authentication login mschap enable

MSCHAP ログイン認証をイネーブルにします。

show aaa authentication login mschap コマンドを使用して、MSCHAP 認証設定を表示できます。

switch# show aaa authentication login mschap
disabled
 

ローカル AAA サービス

システムによりユーザ名およびパスワードはローカルで保持され、パスワード情報は暗号化形式で格納されます。ユーザの認証は、ローカルに保存されているユーザ情報に基づいて実行されます。ローカル ユーザとユーザ ロールを設定するには、 username コマンドを使用します(「ユーザ アカウントの設定」を参照)。

show accounting log コマンドを使用して、ローカル アカウンティング ログを表示します。例 34-13 に例を示します。

例 34-13 アカウンティング ログ情報の表示

switch# show accounting log
 
Sat Jan 24 03:22:06 1981:stop:snmp_349154526_171.71.58.69:admin:
Sat Jan 24 03:22:06 1981:start:snmp_349154526_171.71.58.69:admin:
Sat Jan 24 03:22:06 1981:update:snmp_349154526_171.71.58.69:admin:Added member [
WWN: 21:00:00:20:37:a6:be:00 ID: 2] to zone test-27 on VSAN 1
...
Sat Jan 24 23:59:56 1981:stop:/dev/pts/0_349228792:root:shell terminated
Sun Jan 25 00:00:06 1981:start:/dev/pts/1_349228806:admin:
 

AAA 認証のディセーブル化

none オプションを利用するとパスワード確認をオフにできます。このオプションを設定すると、ユーザは有効なパスワードを提示しなくてもログインできます。ただし、ユーザは少なくとも Cisco MDS 9000 Family スイッチ上のローカル ユーザである必要があります。


注意 このオプションは注意して使用してください。このオプションを設定すると、あらゆるユーザがいつでもスイッチにアクセスできるようになります。

パスワード確認をディセーブルにするには、 aaa authentication login コマンドで none オプションを使用します。

username コマンドを入力して作成したユーザは Cisco MDS 9000 ファミリ スイッチでローカルに存在します。

AAA 認証の表示

show aaa authentication コマンドは、設定されている認証方式を表示します。例 34-14 に例を示します。

例 34-14 認証情報の表示

switch# show aaa authentication
 
No AAA Authentication
default: group TacServer local none
console: local none
iscsi: local
dhchap: local

アカウンティング サービスの設定

アカウンティングは、スイッチの管理セッションごとに保管されるログ情報を意味しています。この情報はトラブルシューティングと監査を目的としたレポートの生成に利用できます。アカウンティングは、(RADIUS を使用して)ローカルまたはリモートで実装できます。アカウンティング ログのデフォルトの最大サイズは 250,000 バイトです。これは変更できません。


ヒント Cisco MDS 9000 ファミリ スイッチは、interim-update RADIUS アカウンティング要求パケットを使用して、アカウンティング ログ情報を RADIUS サーバに送信します。RADIUS サーバは、これらのパケットで送信された情報を記録するように、適切に設定されている必要があります。一部のサーバは、通常、AAA クライアントの設定内に log update/watchdog packets フラグを持ちます。適切な RADIUS アカウンティングを確実に実行するには、このフラグをオンにします。


) コンフィギュレーション モードで実行された設定操作は、自動的にアカウンティング ログに記録されます。重要なシステム イベント(設定保存やシステム スイッチオーバーなど)もアカウンティング ログに記録されます。


アカウンティング設定の表示

設定されているアカウンティング情報を表示するには、show accounting コマンドを使用します。例 34-15 34-17 を参照してください。表示されるローカル アカウンティング ログのサイズを指定するには、show accounting log コマンドを使用します。デフォルトでは、約 250 KB のアカウンティング ログが表示されます。

例 34-15 設定されたアカウンティング パラメータの 2 つのサンプルの表示

switch# show accounting config
show aaa accounting
default: local
 
switch# show aaa accounting
default: group rad1
 

例 34-16 60,000 バイトのアカウンティング ログの表示

switch# show accounting log 60000
Fri Jan 16 15:28:21 1981:stop:snmp_348506901_64.104.131.208:admin:
Fri Jan 16 21:17:04 1981:start:/dev/pts/0_348527824:admin:
Fri Jan 16 21:35:45 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group3
Fri Jan 16 21:58:17 1981:start:snmp_348530297_171.71.150.105:admin:
...
 

例 34-17 ログ ファイル全体の表示

switch# show accounting log
Fri Jan 16 15:28:21 1981:stop:snmp_348506901_64.104.131.208:admin:
Fri Jan 16 21:17:04 1981:start:/dev/pts/0_348527824:admin:
Fri Jan 16 21:35:45 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group3
Fri Jan 16 21:58:17 1981:start:snmp_348530297_171.71.150.105:admin:
Fri Jan 16 21:58:17 1981:stop:snmp_348530297_171.71.150.105:admin:
Fri Jan 16 21:58:18 1981:start:snmp_348530298_171.71.150.105:admin:
Fri Jan 16 21:58:18 1981:stop:snmp_348530298_171.71.150.105:admin:
...
Fri Jan 16 23:37:02 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group3
Fri Jan 16 23:37:26 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for group:TacacsServer1
Fri Jan 16 23:45:19 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for group:TacacsServer1
Fri Jan 16 23:45:19 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
...
Fri Jan 16 23:53:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for server:Server3
Fri Jan 16 23:54:00 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for server:Server5
Fri Jan 16 23:54:22 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for server:ServerA
Fri Jan 16 23:54:25 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for server:ServerB
Fri Jan 16 23:55:03 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
...
Sat Jan 17 00:01:41 1981:start:snmp_348537701_171.71.58.100:admin:
Sat Jan 17 00:01:41 1981:stop:snmp_348537701_171.71.58.100:admin:
Sat Jan 17 00:01:42 1981:start:snmp_348537702_171.71.58.100:admin:
Sat Jan 17 00:01:42 1981:stop:snmp_348537702_171.71.58.100:admin:
...

アカウンティング ログのクリア

現在のログの内容をクリアするには、 clear accounting log コマンドを使用します。

switch# clear accounting log
 

Cisco Access Control Server の設定

Cisco Access Control Server(ACS)は TACACS+ と RADIUS のプロトコルを利用して、セキュアな環境を作り出す AAA サービスを提供します。AAA サーバを使用する際のユーザ管理は、通常 Cisco ACS を使用して行われます。図 34-3図 34-4図 34-5、および図 34-6 に、RADIUS または TACACS+ を利用した ACS サーバの network-admin ロールおよび複数ロールのユーザ セットアップ設定を示します。


注意 RADIUS+、TACACS、またはローカルのいずれで作成されたものであっても、Cisco MDS SAN-OS はすべてが数字のユーザ名はサポートしません。すべて数字の名前を持つローカル ユーザは作成できません。AAA サーバに数字だけのユーザ名が存在する場合、ログイン時に入力しても、そのユーザはログインできません。

図 34-3 RADIUS を使用する場合の network-admin ロールの設定

 

図 34-4 RADIUS を使用する場合の SNMPv3 属性を持つ複数ロールの設定

 

図 34-5 TACACS+ を使用する場合の SNMPv3 属性を持つ network-admin ロールの設定

 

図 34-6 TACACS+ を使用する場合の SNMPv3 属性を持つ複数ロールの設定

 

デフォルト設定

表 34-3 に、スイッチのすべてのスイッチ セキュリティ機能のデフォルト設定を示します。

 

表 34-3 スイッチ セキュリティのデフォルト設定

パラメータ
デフォルト

Cisco MDS スイッチでのロール

ネットワーク オペレータ(network-operator)

AAA 設定サービス

ローカル

認証ポート

1821

アカウンティング ポート

1813

事前共有キーの送受信

クリア テキスト

RADIUS サーバのタイムアウト

1 秒

RADIUS サーバ再試行

1 回

RADIUS サーバへの誘導要求

ディセーブル

TACACS+

ディセーブル

TACACS+ サーバ

未設定

TACACS+ サーバのタイムアウト

5 秒

TACACS+ サーバへの誘導要求

ディセーブル

AAA サーバへの配信

ディセーブル

アカウンティング ログ サイズ

250 KB